サイバー攻撃のリスクは、もはやあらゆる企業にとって避け難い。ランサムウエアにより甚大な被害を受け、ビジネス継続が危ぶまれる事案が日々報道される。金銭的な損害だけではなく、企業の信用低下、株価下落といった深刻な被害を招きかねない。日経ビジネス主催で2025年7月25日に開催された「経営課題解決シンポジウム」。今回は「セキュリティー編」と銘打ち、企業にとって極めて重要な経営課題の1つについて、核となる情報の提供を行った。本ページではその内容をリポート。企業活動やDXの推進におけるサイバーセキュリティーの重要性や課題を改めて整理するとともに、経営・マネジメント層として取るべき戦略に迫った。

国家安全保障戦略、サイバー分野における視座経済産業省、各種支援に本腰
欧米主要国と同等以上の水準へ

サイバー攻撃を行う主体は何か。経済産業省の武尾伸隆氏は列挙していく。「国家の支援を受けた」APT攻撃グループ、「情報を盗んで現金化する」サイバー犯罪組織、「社会的・政治的メッセージの発信」を目的としたハクティビスト、「趣味や研究の延長」で攻撃を行う悪意ある個人、「産業スパイ」の5つだ。AIなどデジタル技術の発展は、サイバー攻撃の高度化・複雑化もまた促している。

地政学的リスクの増大とも相まって、安全保障にも関わるサイバー事案の脅威が高まっている。「こうした状況の中で国際的には、セキュア・バイ・デザインの概念に基づく製品のサイバーセキュリティー対策に対する要請や、重要インフラ事業者などに対するインシデント報告等の義務化、企業における対策の水準を整備・可視化する動きが加速しています」（武尾氏）

サイバー安全保障と企業支援ラインアップ

日本の国家安全保障戦略では「サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる」という目標を掲げる。そこへ向けた取り組みは多岐にわたる。官民連携の強化、通信情報の利用、攻撃者のサーバーなどへの侵入無害化、内閣サイバーセキュリティセンター（NISC）の発展的改組――サイバー対処能力強化法等を通じて、これらの実現に向けて検討を進めているという。

経済産業省のサイバーセキュリティー政策は、国家サイバー統括室（NCO）や関係省庁との連携の下、サイバーセキュリティー市場における需要拡大と供給力強化に向けた取り組みや、国際的な制度調和と国内での調達要件化促進、サイバー情勢分析能力強化が図られている。

そして経済産業省は、やはり様々な取り組みで企業のセキュリティー対策を全面的に支援している。
・「サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）」の策定
・CPSFを軸とした各種ガイドラインの整備
・「サイバーセキュリティ経営ガイドライン」の整備
・半導体関連産業のセキュリティー対策水準の強化
・サプライチェーン企業のセキュリティー対策評価制度の構築
・その他各種支援（中小企業支援施策、サイバーセキュリティお助け隊サービス、IoTセキュリティ適合性評価制度、ソフトウエア管理に向けたSBOMの活用促進、サイバーインフラ事業者に求められる役割などに関するガイドラインの策定、など）

経済産業省は、経営層、実務層、専門組織、提供事業者のそれぞれに向けた「産業界へのメッセージ」を発信している。サイバーセキュリティー対策の強化はまさに国家的課題だ。

身代金は支払うべき？ 被害は公表すべき？IR資料の徹底調査から見えてきた
サイバー攻撃被害の実態

『日経コンピュータ』などで編集長を歴任したキャリアを持つKMCの中村建助氏は、企業のIR資料における「情報セキュリティ対策費」「システム障害対応費用」に着目。2020年1月以降の決算期を対象に分析した結果、これまでほとんど触れられることのなかったサイバー攻撃による金銭的な被害状況が見えてきた。

2025年2月中旬時点で被害の公表が確認された企業は52社、累計損失額は118億円、1社あたりの平均被害額は2億2000万円になるという。1社10億円を超える被害も続発しており、売上高や営業利益に多額の機会損失が発生した企業も存在する。

「近年、特にランサムウエアの被害は深刻化が進んでいます」と話す中村氏によれば、10億円超の損失ではすべてが、1億円超の損失を明らかにした22社のうちの15社がランサムウエア起因だったという。それを受けて、日経BP 総合研究所の桔梗原富夫は「上場企業だけでなく、中小企業へのサプライチェーン攻撃も増加していますね」と懸念を表明した。

ランサムウエア被害の身代金は、支払うべきなのか。中村氏は「原則、支払うべきではない」と答える。その理由は「支払いで解決するとは限りません。次のサイバー攻撃の資金源になる可能性もあります」というものだ。

再発防止策は「モノ、仕組み、人」

そもそもサイバー攻撃の被害は、公表すべきか否か。中村氏によれば、被害事実の公表の明確な判断基準はないが、上場企業などで一定の基準を超えるとIR資料で損失金額を個別に表示する、あるいは適時開示の義務が生じる。個人情報が漏洩した時には、個人情報保護法の定めに沿って公表しなければならなくなるという。参考になりそうな資料に国家サイバー統括室が公開している「サイバー攻撃被害に係る情報の共有・公表ガイダンス」がある。「ぜひ内容を確認してほしい」（中村氏）

中村氏は被害企業に再発防止策を取材している。「モノ、仕組み、人」、この3つに再発防止策は分類できるという。「モノ」はEDRやSIEMなどのITツールの導入やバックアップの強化。「仕組み」は組織・規程などの新規導入や見直し。「人」は経営者・社員のリテラシー向上や意識改革といった施策だ。

直接の再発防止策ではないが、被害にあった際の損失を抑えるための選択肢がある。サイバー保険だ。主に賠償責任損害や復旧費用などを補填しうる。現実に日本でも数千万～1億円の保険金を受け取っている企業が存在する。インシデント発生時の初動対応に必要な企業を紹介してくれるなどのメリットもある。一方で日本では現状、ランサムウエアの身代金は保険の対象外である。

最後に桔梗原は、「綿密な調査でサイバー攻撃の実態を知ることができました。皆さんも経営判断に必要な情報と、組織全体で取り組むべき対策のヒントを掴んでいただけたのではないかと思います」と話し、対談を終えた。